Consulting En Sûreté

Social Engineering

 

Étudier le "Social Engineering"


Le social engineering ou "ingénierie sociale", regroupe un ensemble de techniques de manipulation qui ont pour objectif de recueillir des informations par la ruse.

Bien connu dans le milieu de la sécurité informatique pour lutter contre le piratage, le social engineering ne se limite pas à ce domaine précis et peut être utilisé pour servir n'importe quel intérêt nécessitant la collecte d'informations plus ou moins sensibles.

Je défini souvent le social engineering comme un art de la communication même si ce dernier porte une connotation malsaine du fait que, manipulation, abus de confiance et imposture soit des éléments clés de sa pratique.

La force de persuasion les capacités d'adaptation et l’intelligence étant cependant à la base de l'ingénierie sociale, il serait dommage de s’arrêter à son côté sombre.  

Le social engineering nécessite la plupart du temps de communiquer avec une ou plusieurs cibles soit par téléphone, par courrier, par mail, réseaux sociaux ou par contact direct.

Par extension n'importe quel moyen de communication peut servir à collecter des informations à l'insu d'une personne.

Pour illustrer à l'extrême le principe, un simple post-it sur lequel est inscrit un message quelconque collé à l’extérieur d'une porte d'habitation informera celui qui l'aura placé de l'absence de ses occupants si le post-it reste longtemps placardé sur la porte ou de leur présence si le post-it est décollé.

Inutile de préciser à qui peu bien servir ce type de ruse...

Comme il est dit plus haut, le social engineering peut servir dans bien des domaines :

- Piratage informatique

- Test d'intrusion physique

- Espionnage

- Enquêtes de police ou privée 

- Concurrence commerciale 

- Recouvrement de dettes

- Criminalité 

Étudier et pratiquer le social engineering a souvent pour motivation première de s'en prémunir sois même.


L 'efficacité de l'ingénierie sociale repose essentiellement sur des failles dans la vigilance des cibles visées.

La technique de manipulation utilisée visera à mettre en place une intervention la moins suspecte possible pour ne pas éveiller la méfiance de la "victime".

L'"ingénieur social" doit apparaitre comme une personne de confiance ou une figure d'autorité.

L’expérience de Milgram illustre bien le rapport de soumission à l'autorité qu'ont naturellement la plupart des gens.

Certains individu n'ont jamais étudié le social engineering mais le pratique sans le savoir quotidiennement avec d’excellents résultats.

En terme de stratégie, l’ingénierie sociale à le pouvoir d'apporter un avantage sans équivalent grâce à la valeur de certaines informations cruciales bien utilisés.

Le social engineering peut aussi être un moyen d’améliorer certains aspect de la vie de tous les jours comme les rapports avec l'administration, la vie sociale ou dans le domaine professionnel.

Il est en effet possible d'utiliser cette pratique sans pour autant déborder dans l'usurpation d'identité ou l'atteinte à la vie privée.

Pour s'entrainer, il y a bien évidemment la théorie qui est bien trop vaste pour tenir en un seul article.

Vous pourrez obtenir quelques pistes intéressantes en fin de page.

Puis il y a la pratique essentielle pour expérimenter la théorie enseigné dans les bouquins.

Pour pratiquer, le chemin le plus court et le plus formateur est à mon sens de tenter quelques approches en contacte direct au quotidien.

Le plus difficile sera de s'entrainer à la pratique sans nuire à vos interlocuteurs.

Si vous parvenez à obtenir des informations sensible, engagez vous à ne pas les utiliser.


Certains métiers sont très propices à ce genre d'exercices et peuvent potentiellement vous rendre plus efficace professionnellement. 

Ceci n'est pas une incitation à l'escroquerie...

Nous sommes bien d'accord qu'il ne s'agit pas ici d'un cours de déplombage mais d'un mince aperçu des méthodes pouvant être utilisées en social engineering.

Étudier cette pratique, en plus d'être très intéressant, vous tiendra en alerte plus facilement en cas d'attaque vous concernant.

Internet regorge aussi d'opportunité pour vous entrainer au social engineering

D'une part en vous protégeant par une analyse pertinente de toutes tentative de prise de contact avec vous, puis en appliquant la théorie avec certains de vos contactes sur des sujets anodins.

En plus des réseaux sociaux, les sites de rencontres sont assez intéressant pour s'entrainer avec pour objectif de rencontrer la personne et plus si affinités...

Pour être plus en phase avec les thèmes abordés sur le site, hors mis cet aspect "stratégique" que peut revêtir le social engineering, l'Urbex est une discipline faisant parfois appel à cette compétence (l'urbex étant une discipline mise en lien régulièrement avec d'autres thématique).

Le social engineering fait d’ailleurs l'objet d'un chapitre entier du livre "All access areas" ou une vingtaines de page lui sont consacré.

L'Urbex est par conséquent une bonne raison d'étudier et pratiquer le procédé avec la possibilité d'entrer en contact avec les propriétaires ou gardiens des lieux que vous souhaitez explorer et ainsi ouvrir plus facilement la voie de votre exploration.

Vous trouverez prochainement sur cette page une documentation complète sur le social engineering.

Documentation complète en cours d'élaboration.